Onderwerp: JS injection via FTP

Onlangs contacteerde een klant me met het feit dat bezoekers hem erop wezen dat de website door de virusscanner beschouwd werd als een bedreiging. Hij zei me dat er javascript geïmporteerd werd juist na de body, het zou om volgende code gaan :

<knip>

Nu heb ik eens op de ftp logs gekeken en zie hetvolgende staan :

::ffff:78.47.172.187 UNKNOWN username [25/Oct/2011:22:09:55 -0100] "RETR path...html/index.html" 226 212
::ffff:78.47.172.187 UNKNOWN username [25/Oct/2011:22:09:55 -0100] "STOR path...html/index.html" 226 3819
::ffff:78.47.172.187 UNKNOWN username [25/Oct/2011:22:09:55 -0100] "RETR path...tml/_index.html" 226 4051
::ffff:78.47.172.187 UNKNOWN username [25/Oct/2011:22:09:55 -0100] "STOR path...tml/_index.html" 226 7658
::ffff:78.47.172.187 UNKNOWN username [25/Oct/2011:22:09:56 -0100] "RETR path...tml/home.php" 226 1156
::ffff:78.47.172.187 UNKNOWN username [25/Oct/2011:22:09:56 -0100] "RETR path...tml/index.html" 226 9152
::ffff:78.47.172.187 UNKNOWN username [25/Oct/2011:22:09:56 -0100] "STOR path...tml/index.html" 226 12759
::ffff:78.47.172.187 UNKNOWN username [25/Oct/2011:22:09:56 -0100] "RETR path...dex.html" 226 9956
::ffff:78.47.172.187 UNKNOWN username [25/Oct/2011:22:09:56 -0100] "STOR path...dex.html" 550 -
::ffff:78.47.172.187 UNKNOWN username [25/Oct/2011:22:09:56 -0100] "RETR path..._html/_index.html" 226 620
::ffff:78.47.172.187 UNKNOWN username [25/Oct/2011:22:09:56 -0100] "RETR path...html/index.html" 226 3819
::ffff:78.47.172.187 UNKNOWN username [25/Oct/2011:22:09:56 -0100] "STOR path..._html/_index.html" 226 4227
::ffff:78.47.172.187 UNKNOWN username [25/Oct/2011:22:09:56 -0100] "STOR path...html/index.html" 226 3820
::ffff:78.47.172.187 UNKNOWN username [25/Oct/2011:22:09:56 -0100] "RETR path..._html/home.html" 226 1392
::ffff:78.47.172.187 UNKNOWN username [25/Oct/2011:22:09:57 -0100] "RETR path...tml/_index.html" 226 7658
::ffff:78.47.172.187 UNKNOWN username [25/Oct/2011:22:09:57 -0100] "STOR path..._html/home.html" 226 4999
::ffff:78.47.172.187 UNKNOWN username [25/Oct/2011:22:09:57 -0100] "STOR path...tml/_index.html" 226 7659
::ffff:78.47.172.187 UNKNOWN username [25/Oct/2011:22:09:57 -0100] "RETR path..._html/index.html" 226 976
::ffff:78.47.172.187 UNKNOWN username [25/Oct/2011:22:09:57 -0100] "RETR path...tml/home.php" 226 1156
::ffff:78.47.172.187 UNKNOWN username [25/Oct/2011:22:09:57 -0100] "STOR path..._html/index.html" 226 4583
::ffff:78.47.172.187 UNKNOWN username [25/Oct/2011:22:09:57 -0100] "RETR path...tml/index.html" 226 12759
::ffff:78.47.172.187 UNKNOWN username [25/Oct/2011:22:09:57 -0100] "RETR path..._html/main.html" 226 2425
::ffff:78.47.172.187 UNKNOWN username [25/Oct/2011:22:09:57 -0100] "STOR path...tml/index.html" 226 12760
::ffff:78.47.172.187 UNKNOWN username [25/Oct/2011:22:09:57 -0100] "STOR path..._html/main.html" 226 6032
::ffff:78.47.172.187 UNKNOWN username [25/Oct/2011:22:09:57 -0100] "RETR path...dex.html" 226 9956
::ffff:78.47.172.187 UNKNOWN username [25/Oct/2011:22:09:57 -0100] "RETR path...index.html" 226 9910
::ffff:78.47.172.187 UNKNOWN username [25/Oct/2011:22:09:57 -0100] "STOR path...dex.html" 550 -
::ffff:78.47.172.187 UNKNOWN username [25/Oct/2011:22:09:57 -0100] "STOR path...index.html" 550 -
::ffff:78.47.172.187 UNKNOWN username [25/Oct/2011:22:09:57 -0100] "RETR path..._html/_index.html" 226 4227
::ffff:78.47.172.187 UNKNOWN username [25/Oct/2011:22:09:58 -0100] "STOR path..._html/_index.html" 226 4228
::ffff:78.47.172.187 UNKNOWN username [25/Oct/2011:22:09:58 -0100] "RETR path..._html/home.html" 226 4999
::ffff:78.47.172.187 UNKNOWN username [25/Oct/2011:22:09:58 -0100] "STOR path..._html/home.html" 226 5000
::ffff:78.47.172.187 UNKNOWN username [25/Oct/2011:22:09:58 -0100] "RETR path..._html/index.html" 226 4583
::ffff:78.47.172.187 UNKNOWN username [25/Oct/2011:22:09:58 -0100] "STOR path..._html/index.html" 226 4584
::ffff:78.47.172.187 UNKNOWN username [25/Oct/2011:22:09:58 -0100] "RETR path..._html/main.html" 226 6032
::ffff:78.47.172.187 UNKNOWN username [25/Oct/2011:22:09:58 -0100] "STOR path..._html/main.html" 226 6033
::ffff:78.47.172.187 UNKNOWN username [25/Oct/2011:22:09:59 -0100] "RETR path...index.html" 226 9910
::ffff:78.47.172.187 UNKNOWN username [25/Oct/2011:22:09:59 -0100] "STOR path...index.html" 550 -

De klant is afkomstig uit België en deze handelingen werden gedaan vanuit duitsland. Het is ook de enige gebruiker die dit probleem heeft. Kan dit aantonen dat mijn server niet secure is? Ik heb hier nog nooit last van gehad en de klant meent dan ook te zeggen dat mijn server niet secure genoeg is.

Ik draai een DirectAdmin installatie op CentOs.

Typisch gevalletje van een enkel uitgelekt wachtwoord. Check je FTP auth log en je zult de succesvolle logins zien staan met code 230.

Er zijn ook Joomla's met een ingestelde FTP layer, die via een ongeautoriseerde file editor (zo'n c99 in de images map ofzo) weer de config.php uitlezen om zo de FTP gegevens te achterhalen, maar in de meeste gevallen is het gewoon uitgelekt via de klant zelf.

Oorspronkelijk geplaatst door Dries.S

Ik heb hier nog nooit last van gehad en de klant meent dan ook te zeggen dat mijn server niet secure genoeg is.

Wij zien dit soort threats ook steeds vaker. Het ligt niet aan de server maar aan de user. Er is steeds meer mallware wat bepaalde files opzoekt van bekende ftp programma's om op deze manier dus code te kunnen injecteren in een website. Een vrij smerige manier om redelijk legitiem aan te passen.

Oorspronkelijk geplaatst door Mikey

Wij zien dit soort threats ook steeds vaker. Het ligt niet aan de server maar aan de user. Er is steeds meer mallware wat bepaalde files opzoekt van bekende ftp programma's om op deze manier dus code te kunnen injecteren in een website. Een vrij smerige manier om redelijk legitiem aan te passen.

Een geoip-wrapper om FTP bouwen kan helpen om default alles van buiten Nederland te blokkeren en per user uitzonderingen te maken. Dat is zo'n beetje de enige oplossing die proactief werkt.

Bestanden zoals index.php/html, .htaccess e.d. read-only maken als je klaar bent met wijzigen/uploaden.

dit topic wordt door eset nod32 ook geblokkeerd vanwege een 'trojan iframe'... Ik zou bovenstaande js even weghalen...

Oorspronkelijk geplaatst door Randy

Een geoip-wrapper om FTP bouwen kan helpen om default alles van buiten Nederland te blokkeren en per user uitzonderingen te maken. Dat is zo'n beetje de enige oplossing die proactief werkt.

En waarom zou je een work-around opzetten voor iets waarvan $user zelf oorzaak is. Oorzaak tezamen met gevolg motiveert in de toekomst. Anders worden sommige $users nooit wakker, en zullen ze hun surf gedrag, beveiliging nooit verbeteren.

Persoonlijk kies ik voor files restoren, klant mooi informatie pakketje verstrekken waarmee hij op verschillende plekken zijn computer kan ontdoen van narigheid, en ook een en ander uitleggen voor de toekomst. Problemen moet je oplossen en niet met allerhande pleisters en zalfjes aanpakken. Je kent hem vast "Zachte heelmeesters, maken stinkende wonden."

Fijn weekend!

Oorspronkelijk geplaatst door Randy

Een geoip-wrapper om FTP bouwen kan helpen om default alles van buiten Nederland te blokkeren en per user uitzonderingen te maken. Dat is zo'n beetje de enige oplossing die proactief werkt.

vervolgens kan je klant niet op de FTP omdat hij pas in het buitenland er achter komt dat dat geblokkeerd is en moet hij jou bellen om toegang te krijgen. Ik denk dat je beter de verantwoordelijkheid bij deklant zelf moet leggen en tips mbt het veilig bewaren van de wachtwoorden.

Oorspronkelijk geplaatst door Yourwebhoster

vervolgens kan je klant niet op de FTP omdat hij pas in het buitenland er achter komt dat dat geblokkeerd is en moet hij jou bellen om toegang te krijgen. Ik denk dat je beter de verantwoordelijkheid bij deklant zelf moet leggen en tips mbt het veilig bewaren van de wachtwoorden.

Maar als hoster zit je dan wel met de ellende. Is ook niet alles lijkt me

Afkomstig van een server in Duitsland die o.a. Vbulletin 4.1.7 draait en eigendom is of gehuurd door Russen...

Ik zie verder alleen "UNKNOWN username" in die logs. Om dan zomaar aan te nemen dat het wel bij de ftp-gebruiker zal liggen, lijkt me tenminste een longshot. Als ze een FTP paswoord hebben, waarom genereren ze dan zoveel errors?

Verleden week nog een Vbulletin server gezien met een scriptje in een theme. En de week daarvoor eentje met een ftp scanner in een SEO plugin. De naam van de plugin onstnapt me. Er zijn de laatste tijd heel veel gecompromitteerde Vbulletin servers.

Anyway, alleen afgaande op de logs, lijkt dit eerder een brute force aanval dan een gecompromitteerd ftp paswoord. Jammer genoeg is het javascript weg...

Bekend probleem, klanten geven je meestal de schuld in de zin van "de server is niet veilig". Wij hadden dit recent met een klant die accounts op meerdere servers had, bleek dus gewoon een trojan te zijn geweest die de ftp wachtwoorden uit z'n ftp prog uitlas. Adviseer de klant of de wachtwoorden niet op te slaan of een prog te gebruiken dat veilig opslaat!

Bestanden restoren, wachtwoord van de user wijzigen, klant mail sturen dat ze zeer waarschijnlijk een trojan/spyware op hun pc hebben staan. Met de mededeling dat ze kunnen mailen als ze dat opgeschoond hebben (met linkje naar bijvoorbeeld gratis versie van avast)
Na hun mail nieuw wachtwoord sturen.

Mijn ervaring is dat de klant dan blij is dat je helpt en beter op zijn/haar pc let. (End e volgende keer minder hoog van stapel blaast dat je server onveilig is)